Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Wysi та Events Manager Extended і в самому WordPress. Для котрих з’явилися експлоіти. Wysi - це плагін для заміні вбудованого WYSIWYG-редактора на новий, Events Manager Extended - це плагін для управління та відображення подій. А також витік логінів в WP, що стосуються версій WP 2.х і 3.х.

• WordPress Wysi 0.0.2 Shell Upload (деталі)
• WordPress Events Manager 3.1.2 SQL Injection (деталі)
• WordPress User IDs and User Names Disclosure (деталі)

Вищезгадана уразливість в движку була виправлена в WordPress 3.1.3 (причому неякісно) і як я вже зазначав, вона відома вже багато років. Ця дірка пов’язана з шаблоном автора, через який можна проводити ще одну атаку для визначення логінів, про що я згадував в статті визначення логінів в WordPress. Таких уразливостей чимало в WP.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням hackzona.com.ua, хакери атакували електронні пошти Microsoft і Yahoo!.

Електронні пошти Microsoft і Yahoo! зазнали хакерської атаки поряд зі спробами взломати поштові скриньки сервісу Gmail, що належить компанії Google. Про це повідомили представники американо-японської компанії з розробки антивірусного програмного забезпечення Trend Micro.

Також 2 червня стало відомо про масовану кібератаку на поштові скриньки Google. Компанія заявила, що їй вдалося запобігти загрозі.

За повідомленням www.xakep.ru, хакер арештований за шахрайство з платіжними картами.

Громадянин Америки зізнався в крадіжці даних більш 676000 платіжних карт із баз даних і в одержанні більш $100000 шляхом продажу цих даних у нелегальних онлайн-магазинах.

За повідомленням www.kommersant.ru, хакери пожартували над ЦРУ.

Група невідомих хакерів, що називає себе Lulz Security, атакувала сайт ЦРУ. Вони провели DDoS атаку на сайт cia.gov, ускладнивши на нетривалий час його роботу. Раніше група робила атаки на ФБР і сенат США, а також на корпорації Sony, Nіntendo і News Corp.

Раніше я вже писав про діяльність хакерів з Lulz Security.

В даній добірці уразливості в веб додатках:

• Alt-N WebAdmin Source Code Disclosure (деталі)
• LFI in Hycus CMS (деталі)
• SQL injection in Hycus CMS (деталі)
• HP Discovery & Dependency Mapping Inventory (DDMI) Running on Windows, Remote Cross SIte Scripting (XSS) (деталі)
• XSS vulnerability in Injader CMS (деталі)
• SQL injection in Injader CMS (деталі)
• HP Power Manager (HPPM) Running on Linux and Windows, Remote Execution of Arbitrary Code (деталі)
• SQL injection in Injader CMS (деталі)
• XSS vulnerability in Injader CMS (деталі)
• HP Insight Management Agents Running on Linux and Windows, Remote Full Path Disclosure (деталі)

20.07.2010

У липні, 01.07.2010, я знайшов SQL Injection уразливість на проекті http://ledovskih.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

18.06.2010

SQL Injection:

http://ledovskih.com.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

В розділі Ethernet Port Configuration (http://192.168.1.1/configuration/ports.html?95) через CSRF можлива зміна параметрів MAC і Reset Defaults.

В розділі Advanced Ethernet Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?95) через CSRF можлива зміна параметрів Reset, MAC і Reset Defaults.

В розділі Adsl Port Configuration (http://192.168.1.1/configuration/ports.html?96) через CSRF можлива зміна параметрів Adsl порта.

В розділі Advanced Adsl Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?96) через CSRF можлива зміна параметрів Adsl порта.

XSS:

В розділі Ethernet Port Configuration (http://192.168.1.1/configuration/ports.html?95) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced Ethernet Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?95) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Adsl Port Configuration (http://192.168.1.1/configuration/ports.html?96) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced Adsl Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?96) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В травні, 17.05.2011 і 21.05.2011, відбувся масовий взлом сайтів на сервері Uplink. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Uplink. Взлом відбувся після згаданого масового взлому сайтів на сервері Візор.

Всього було взломано 107 сайтів на сервері української компанії Uplink (IP 195.3.204.194). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт medstat.gov.ua.

106 зазначених сайтів були взломані 17 травня 2011 року - 105 хакером Brunei і 1 хакером iskorpitx. Іще один сайт був дефейснутий 21 травня хакером Executive.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

12.10.2010

У червні, 25.06.2010, я знайшов Abuse of Functionality, Insufficient Anti-automation, Source Code Disclosure, Full path disclosure та Cross-Site Scripting уразливості на проекті http://about42.nl. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

17.06.2011

Abuse of Functionality:

http://about42.nl/www/showheaders.php

Через даний функціонал можна проводити атаки на інші сайти. А також DoS атаку на сам сервіс.

Insufficient Anti-automation:

http://about42.nl/www/showheaders.php

На даній сторінці немає захисту від автоматизованих запитів (капчі).

Source Code Disclosure (обмежений):

http://about42.nl/www/showsource.php

Full path disclosure:

http://about42.nl/www/showsource.php?page=/index.php/

POST запит на сторінці http://about42.nl/www/showheaders.php
'В полі Url.

XSS:

• alert(document.cookie)
• цікавий

POST запит на сторінці http://about42.nl/www/showheaders.php
<script>alert(document.cookie)</script>В полі Url.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Embedded Video та Star Rating і в самому WordPress. Для котрих з’явилися експлоіти. Embedded Video - це плагін для розміщення відео, Star Rating - це плагін для створення системи рейтингів. А також 7 нових FPD уразливостей в WP, що стосуються версій WP 3.0 - 3.1.х.

• Embedded Video WordPress Plugin Cross Site Vulnerability (XSS) (деталі)
• WordPress Star Rating SQL Injection (деталі)
• Path disclosure in Wordpress (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В своїй презентації Web Malware Explosion Requires New Protection Paradigm, Invincea розповідає про шкідливе програмне забезпечення у Вебі. Про масштаби поширення інфекцій на веб сайтах в Інтернеті та засоби захисту від шкідливого ПЗ.

Зазначу, що минулого місяця я виступав з доповіддю про системи виявлення інфікованих веб сайтів.

09.10.2010

У червні, 22.06.2010, я знайшов Cross-Site Scripting та SQL DB Structure Extraction уразливості на http://www.kontrakt.ua - сайті банку Контракт. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше.

16.06.2011

XSS:

http://www.kontrakt.ua/index.php?pages='&language=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Та три інші XSS, що є в Martinweb CMS.

SQL DB Structure Extraction:

http://www.kontrakt.ua/index.php?pages=’

Зараз дані уразливості вже виправлені. Адміни замінили одну діряву CMS на іншу CMS (менш діряву, але в ній також є дірки).